Planeamento da residência dos dados

A residência dos dados dá-lhe mais controlo sobre a localização dos seus dados do Security Command Center. Este documento fornece informações essenciais sobre como o Security Command Center suporta a residência de dados.

As seguintes definições aplicam-se a este documento:

• Uma localização é uma Google Cloud região ou multirregião que corresponde à localização em que os seus dados residem.
• O significado do termo os seus dados é equivalente ao significado do termo "Dados do Cliente" no item Localização dos Dados nos Google Cloud Termos Gerais de Serviço.

Para saber como trabalhar com recursos do Security Command Center quando a residência de dados está ativada, consulte o artigo Pontos finais regionais do Security Command Center.

Localizações de dados suportadas

Esta secção descreve as localizações de dados que pode usar para o Security Command Center e os serviços relacionados.

Localizações de dados do Security Command Center

Quando ativa a residência de dados, a API Security Command Center suporta as seguintes Google Cloud multirregiões como localizações de dados:

União Europeia (eu)

Os dados residem em qualquer Google Cloud região nos estados-membros da União Europeia.

Reino da Arábia Saudita (KSA) (sa)

Os dados residem em qualquer Google Cloud região na Arábia Saudita.

Estados Unidos (us)

Os dados residem em qualquer Google Cloud região nos Estados Unidos.

Se usar o nível de serviço Standard ou Premium, a atualização para o nível Enterprise não altera a localização dos seus dados do Security Command Center. Se não ativou a residência de dados do Security Command Center para o nível Standard ou Premium, não pode ativá-la quando fizer a atualização para o nível Enterprise.

Para mais informações sobre as localizações do Security Command Center, consulte o artigo Produtos disponíveis por localização.

Se precisar de especificar uma localização predefinida para a residência de dados que o Security Command Center não suporta, contacte o seu representante da conta ou um Google Cloud especialista de vendas.

Localizações de dados do Google SecOps

Para o Google Security Operations, a residência de dados está sempre ativada. Para saber onde residem os dados do Google SecOps, consulte a lista de localizações do Google SecOps.

Funcionalidades suportadas e fases de lançamento

Para o nível de serviço Enterprise do Security Command Center, se ativar a residência de dados, as seguintes funcionalidades não estão disponíveis:

• Cloud Infrastructure Entitlement Management (CIEM) para fornecedores de nuvem externos
• Mandiant Attack Surface Management

Além disso, conforme indicado no item Termos de Ofertas de Pré-DG dos Termos Gerais do Serviço, os termos de Localização de Dados não se aplicam a funcionalidades e serviços de pré-disponibilidade geral (DG).

Requisitos de residência dos dados

Esta secção explica os requisitos para usar a residência de dados no Security Command Center e nos serviços relacionados.

Requisitos para o Security Command Center

Pode ativar a residência de dados para o Security Command Center apenas quando ativa o Security Command Center para uma organização pela primeira vez. Depois de ativar a residência de dados, não é possível desativá-la.

A residência de dados requer que use a API Security Command Center v2. Se a residência de dados estiver ativada, não pode usar versões anteriores da API Security Command Center.

Se não ativar a residência de dados quando ativa o Security Command Center, o Security Command Center não restringe os seus dados a nenhuma localização específica e estes são armazenados de acordo com os Termos de Utilização do Google Cloud Platform.

Requisitos para o Google SecOps

Para o Google SecOps, a residência de dados está ativada por predefinição. Não pode desativar a residência de dados para o Google SecOps.

Como e quando a residência dos dados é aplicada

Quando ativa a residência de dados para o Security Command Center, alguns dados do Security Command Center são mantidos numa localização especificada quando se encontram num dos seguintes estados:

• Em repouso
• Em utilização
• Em viagem

Depois de ativar a residência de dados e selecionar uma localização de dados, o Security Command Center faz o seguinte:

• Quando é criada uma descoberta para um recurso que reside na localização especificada, a descoberta reside sempre na sua localização de dados.
• Quando é criada uma descoberta para um recurso que reside noutra localização, a descoberta acaba por residir na sua localização de dados. No entanto, a descoberta pode residir temporariamente numa região diferente.
• Quando cria tipos específicos de recursos de configuração na sua localização de dados, estes residem nessa localização.
• Nos casos em que o Security Command Center armazena dados que não são Dados do Cliente, conforme definido no item Localização dos Dados nos Google Cloud Termos de Serviço Gerais, o Security Command Center armazena os dados de acordo com os Termos de Utilização da Google Cloud Platform.

Residência dos dados em repouso

Os dados estão em repouso quando todos os critérios seguintes forem cumpridos:

• Os dados são relativos a um tipo de recurso sujeito a controlos de residência de dados.
• Não solicitou uma operação que exija o acesso aos dados.
• Os dados não estão a ser acedidos de uma forma que produza registos de auditoria ou registos da Transparência de acesso.

Residência dos dados em utilização

Os dados estão em utilização quando todos os critérios seguintes são cumpridos:

• Os dados são relativos a um tipo de recurso sujeito a controlos de residência de dados.
• Google Cloud está a concluir uma operação que foi iniciada a seu pedido, por exemplo, porque a sua aplicação chamou a API Security Command Center, ou uma operação que produz registos de auditoria ou registos da Transparência de acesso.
• É possível que a Google Cloud opere nos dados de uma forma que exija o conhecimento do significado dos dados, por exemplo, atualizando campos específicos num recurso de configuração. Isto inclui qualquer caso em que os dados não estejam encriptados na memória.

Residência dos dados em trânsito

Os dados estão em trânsito quando todos os seguintes critérios são cumpridos:

• Os dados são relativos a um tipo de recurso sujeito a controlos de residência de dados.
• Os dados estão a ser transmitidos, com encriptação, na rede da Google, ou os dados estão na memória, com encriptação, para fins de transmissão na rede da Google.

Recursos do Security Command Center e residência dos dados

A lista seguinte explica como o Security Command Center aplica controlos de residência de dados aos recursos do Security Command Center. Se um recurso não estiver listado aqui, não está sujeito a controlos de residência de dados e é armazenado de acordo com os Termos de Utilização da Google Cloud Platform.

Exportações do BigQuery

As configurações do BigQuery Export estão sujeitas aos controlos de residência de dados. Use os endpoints regionais para criar e gerir estes recursos de configuração.

A API Security Command Center representa as configurações do BigQuery Export como recursos BiqQueryExport.

Exportações contínuas

As configurações de exportação contínua estão sujeitas a controlos de residência dos dados. Use os pontos finais regionais para criar e gerir estes recursos de configuração.

A API Security Command Center representa as configurações de exportação contínua como recursos NotificationConfig.

Descobertas

As conclusões estão sujeitas a controlos de residência dos dados.

Quando é criada uma descoberta para um recurso que reside na localização de dados que selecionou, a descoberta reside sempre na mesma localização.

Quando é criada uma descoberta para um recurso que reside noutra localização, a descoberta acaba por residir na localização de dados que selecionou. No entanto, a descoberta pode residir numa região diferente no momento em que é criada.

Para manter todas as descobertas na localização dos seus dados, crie sempre todos os seus Google Cloud recursos nessa localização.

Recursos do Google SecOps

Todos os recursos do Google SecOps estão sujeitos a controlos de residência dos dados. Use os endpoints regionais para criar e gerir estes recursos de configuração.

Regras de desativação do som

As configurações de regras de desativação do som estão sujeitas a controlos de residência dos dados. Use os pontos finais regionais para criar e gerir estes recursos de configuração.

A API Security Command Center representa as configurações das regras de desativação do som como recursos MuteConfig.

Outros recursos e definições do Security Command Center

Os recursos e as definições do Security Command Center que não estão listados aqui, como os que definem os serviços ativados ou o nível ativo, não estão sujeitos a controlos de residência de dados. Estes dados são armazenados de acordo com os Termos de Utilização da Google Cloud Platform.

Crie ou veja dados numa localização

Quando a residência de dados está ativada, tem de especificar uma localização quando cria ou vê dados que estão sujeitos a controlos de residência de dados. O Security Command Center escolhe automaticamente uma localização para as descobertas que cria.

Só pode criar ou ver dados numa localização de cada vez. Por exemplo, se listar resultados na localização Estados Unidos (us), não vê resultados na localização União Europeia (eu).

Para saber como criar ou ver dados sujeitos a controlos de residência de dados, consulte Acerca da consola Google Cloud jurisdicional e Ferramentas para pontos finais regionais.

O que se segue?

• Saiba como ativar o Centro de comandos de segurança para uma organização.
• Saiba como usar os endpoints regionais do Security Command Center.
• Ativar o Security Command Center para transmitir conclusões para o BigQuery.
• Configure exportações contínuas do Security Command Center para o Pub/Sub.
• Crie uma regra de desativação do som para as conclusões.